Kaspersky Endpoint Detection and Response (KATA) 集成
2023年4月20日
ID 246859
Kaspersky Endpoint Detection and Response (KATA) (EDR (KATA)) 是 Kaspersky Anti Targeted Attack Platform 解决方案的一个组件,旨在保护组织的 IT 基础设施并迅速检测威胁,例如零日攻击、针对性攻击和高级持续性威胁 (APT)。要了解更多信息,请查看 Kaspersky Anti Targeted Attack Platform 帮助。
当与 EDR (KATA) 交互时,Kaspersky Endpoint Security 可能会将有关设备上事件的数据(遥测数据)发送到具有中央节点组件(“KATA 服务器”)的 Kaspersky Anti Targeted Attack Platform 服务器,并执行来自 Kaspersky Anti Targeted Attack Platform 的命令以提供安全保障。
KESL 容器不支持此功能。
要与 EDR (KATA) 集成,必须启用行为检测组件。
仅当启用这些组件时,Kaspersky Endpoint Security 才能与 EDR (KATA) 集成。否则,无法传输所需的遥测数据。
EDR (KATA) 还可以使用从以下组件接收的数据:
- 文件威胁防护。
- 网络威胁防护。
- Web 威胁防护。
在与 EDR (KATA) 集成期间,具有 Kaspersky Endpoint Security 的设备会通过 HTTPS 协议与 KATA 服务器建立安全连接。为确保安全连接,使用 KATA 服务器颁发的以下证书:
- KATA 服务器证书。使用服务器的 TLS 证书对连接进行加密。您可以通过在 Kaspersky Endpoint Security 端验证服务器证书来提高连接的安全性。您需要在配置集成设置时添加服务器证书。
- 客户端证书。此证书用于使用双向身份验证对连接进行额外保护(使用 Kaspersky Endpoint Security KATA 服务器扫描设备)。多个设备可以使用同一客户端证书。默认情况下,KATA 服务器不验证客户端证书,但可以在 KATA 服务器端启用验证。在这种情况下,您需要在集成选项中启用双向身份验证并添加客户端证书(带证书和私钥的加密容器)。
用于保护与 KATA 服务器的连接的证书由 Kaspersky Anti Targeted Attack Platform 管理员提供。
如果在 Kaspersky Endpoint Security 的常规应用程序设置中配置了使用代理服务器,则使用代理服务器连接到 KATA 服务器。
Kaspersky Endpoint Detection and Response (KATA) 集成设置
设置 | 描述 |
|---|---|
与 Endpoint Detection and Response (KATA) 集成。 | 启用或禁用 Kaspersky Endpoint Security 与 EDR (KATA) 的集成。 默认情况下,禁用 Integration Server。 |
KATA 服务器 | 模块中的“配置”按钮将打开“КАТА 服务器”窗口。在此窗口中,您可以配置与 KATA 服务器的连接并查看已配置连接的服务器列表。 |
服务器连接设置 | 模块中的“配置”按钮将打开一个窗口,在其中可以配置连接到 KATA 服务器的常规设置,添加服务器证书,并配置连接到 KATA 服务器时的双向身份验证。 |
数据传输设置 | 模块中的“配置”按钮将打开一个窗口,在其中可以配置传输到 KATA 服务器的数据的设置。 |